widows server2008MCSE综合实验2 企业网.doc-道客多多

资源描述

1、综合实验 2一、网络拓扑图二、实验要求：1、、以及在同一个林中，为该林根域：和为另外两个林；如图所示，实现中用户可以访问 sohu 林中的三个共享文件夹，反之亦然：实现中用户仅可以访问共享文件夹“新浪” ，反之不然。2、所有顶级域名均要在互联网的域名注册机构注册，所有 web 站点和 ftp 站点的 FQDN 也要在相应的合法机构注册，为北京总部创建子域以便单独管理和解析北京总部主机 FQDN 名，要求内外网用户都可以解析所有域名和 FQDN 名3、如图所示部署 sohu 根域内部网4、内网各网段的客户端均动态获取 ip 地址，且能够加入域、能够相互通信、能解析所有域

2、名，要求管理DHCP 服务器的用户不能是域管理员组的成员5、要求 web 站点可以匿名访问，其下面的所有数据都存储在 ftp 服务器的 E 盘上，并要求是本域的合法用户才能访问；另一个 web 站点要求客户端证书验证后才能访问，其中 web 服务器在根 CA 处申请证书，客户端在子 CA 处申请证书。6、要求可以匿名访问但只读，而其虚拟目录只有该域合法用户才能访问，且可上传：同一个 ftp 服务器上的另一个 ftp 站点可以匿名访问，但只有本林中所有的域管理员才能上传：两个 ftp 站点都要通过 FQDN 名访问7、只有本域管理员组成员和经理组成员可以在上班时间通过 V

3、PN 服务器接入内网，但要求实现数据传输的机密性、完整性和不可否认性8、DC1 由于性能下降，需要将架构主机、域命名主机转移至 DC2：为了提高域内查找林资源的速度，将和中的 DC 都部署为全局编录服务器9、管理员由于误操作，不小心删除了市场部 OU，现需要将该 OU 恢复10、DC1 的 CPU 非空闲百分比超过 80%时发送网络消息给管理员，管理员可以用 pcAnywhere 远程管理的 DC三、实验步骤:1.IP 地址规划设备 Ip 地址网关 DnsB 172.16.1.1 172.16.1.254 172.16.1.1G 172.16.1.2 172.16.1.254 172

4、.16.1.2Client 172.16.1.3 172.16.1.254 172.16.1.2S 172.16.1.4 172.16.1.254 172.16.1.4 B 172.16.1.5 172.16.1.254 192.168.8.1独立根 ca 172.16.1.6 172.16.1.254 192.168.8.1根 dns 172.16.1.7 172.16.1.254 172.16.1.7顶级域名（.com） 172.16.1.8 172.16.1.254 172.16.1.8vpnClient 172.16.1.9 172.16.1.254Vpn 服务器网卡 1：172.1

5、6.1.254网卡 2：192.168.8.254192.168.8.1S(dc1) 192.168.8.1 192.168.8.254 192.168.8.1Dc2 192.168.8.2 192.168.8.254 192.168.8.1Node Web1 Public：192.168.8.3Heatbeat：1.1.1.1群集 ip：192.168.8.88192.168.8.254 192.168.8.1Node Web2 Public：192.168.8.4Heatbeat：1.1.1.2192.168.8.254 192.168.8.1子 ca 192.168.8.5 192.16

6、8.8.254 192.168.8.1Cluster 1 Public：192.168.8.6Heatbeat：10.0.0.1群集 ip：192.168.8.99192.168.8.254 192.168.8.1Cluster 2 Public：192.168.8.7Heatbeat：10.0.0.2192.168.8.254 192.168.8.1ftp server 192.168.8.8192.168.8.77192.168.8.254 192.168.8.1Dhcp server 192.168.8.9 192.168.8.254 192.168.8.1client1 动态获取Dhc

7、p 中继内网：192.168.8.10外网：10.0.0.1Dhcp client2 动态获取2 .搭建 dns 服务根 dns 上：安装 dns 组件开始运行 dhsmgmt.msc正向区域新建区域主要区域. 允许非安全和安全的动态更新完成。右击根域新建委派下一步.com下一步添加.com 的主机名和 ip完成。顶级域.com 上：安装 dns 组件开始运行 dhsmgmt.msc正向区域新建区域主要区域.com允许非安全和安全的动态更新完成。右击.com新建委派下一步下一步添加的主机名和 ip完成。右击.com新建委派下一步下一步添加的主机名和 ip完成。右击.com新建委派下一

8、步下一步添加的主机名和 ip完成。右击.com新建委派下一步下一步添加的主机名和 ip完成。右击服务器属性根提示删除十三个默认根提示添加根 dns 的 ip 地址和主机名B 上：安装 dns 组件开始运行 dhsmgmt.msc正向区域新建区域主要区域允许非安全和安全的动态更新完成。右击服务器属性根提示删除十三个默认根提示添加根 dns 的 ip 地址和主机名G 上：安装 dns 组件开始运行 dhsmgmt.msc正向区域新建区域主要区域允许非安全和安全的动态更新完成。右击服务器属性根提示删除十三个默认根提示添加根 dns 的 ip 地址和主机名S 上：安装 dns 组件开始运行

9、 dhsmgmt.msc正向区域新建区域主要区域.com允许非安全和安全的动态更新完成。右击服务器属性根提示删除十三个默认根提示添加根 dns 的 ip 地址和主机名Dc1 上：安装 dns 组件开始运行 dhsmgmt.msc正向区域新建区域主要区域允许非安全和安全的动态更新完成。右击服务器属性根提示删除十三个默认根提示添加根 dns 的 ip 地址和主机名S 上（子域）：开始运行 dhsmgmt.msc右击新建域名称：bj确定3.搭建企业内网Dc1 上：开始运行 dhsmgmt.msc新建 A 记录 dc1 的计算机名和 ip 地址双击 soa 添加后缀。开始运行 dcprom

10、o新林中的域重启Dc2 上：开始运行 dcpromo现有域的额外域控制器administrator 123重启Dc1 上：开始运行 dsa.mac创建用户 vpnserver、nlbweb1、nlbweb2、cluster1、cluster2、ftpsever 、zica、 dhcpsever、client、qq、pp 密码均为将它们加入 Enterprise admins （除 client 外），还将它们加入相应的服务器的本地管理员组。内网里的所有 pc 都加入域，并用相应的域用户登陆。Dhcp 服务器上：安装 dhcp 组件开始运行 dhcpmgmt.msc右击服务器授权192.1

11、68.8.9确定新建作用域ip 地址范围 192.168.8.11192.168.8.254完成激活作用域。右击作用域选项006DNS 服务器 ip：192.168.8.1添加确定右击服务器新建作用域ip 地址范围：10.0.0.110.0.0.254 完成激活作用域；右击作用域选项003 路由器 ip：10.0.0.1 006DNS 服务器 ip：192.168.8.1Client1 ip 为自动获取开始运行 cmdipconfig /release ; ipconfig /renew 获得 ip 地址 192.168.8.11 动态获取 ip 后将 client1 加入域Dhcp 中继上

12、：开始管理工具打开：路由和远程访问服务右击服务器配置并启用路由和远程访问安装向导自定义LAN下一步完成（启动服务）右击常规新增路由协议dhcp 中继代理程序确定右击 dhcp 中继代理程序属性常规服务器地址：192.168.8.9确定；右击 dhcp 中继代理程序新增接口添加外网网卡：10.0.0.1确定 Client2 ip 为自动获取开始运行 cmdipconfig /release ; ipconfig /renew 获得 ip 地址 10.0.0.2 并将client2 加入域此时，client2 能够和搜狐内网通信。根 ca：先安装 ASP.net、 IIS 服务再安装证书

13、服务独立根 ca确定子 ca：先安装 ASP.net、 IIS 服务再安装证书服务独立从属 ca确定子 ca 要想正常运行必须在命令提示符下作如下操作：Certutil setreg cacrlflags+crlf_revcheck_ignore_offline注：子 ca 需要向根 ca 申请证书，建立信任关系。（基于证书的 VPN、服务器群集）Vpn 服务器：打开路由和远程服务控制台右击服务器配置并启用路由和远程访问安装向导远程访问勾选 vpn选择“外网连接 b 网卡” ip 动态获取方式vpnClient：右击网上邻居属性新建连接向导连接到我的工作场的网络虚拟专用网络连接搜狐vpn

14、服务器连接：172.16.1.254完成右击客户端属性网络VPN 类型：L2TP IPSec VPN确定1.首先让从属 CA 和根 CA 信任：在从属 CA 上打开 IE 浏览器输入根 CA 的 IP 地址/certsrv下载:下载一个 CA 证书保存运行输入：MMC文件添加删除管理单元添加证书我的用户账户和计算机账户在当前用户打看受信任的根证书颁发机构证书看看有没有根 CA 的证书如果没有右击证书所有任务-导入把刚才下载的证书导入到里面！展开受信任的根证书颁发机构证书查看有没有根的证书，如果没有把刚才下载的证书导入里面（根信任从属同理，只不过把受信任的根证书颁发机构换成了中级证书颁发机构）

15、2.为 VPN 服务器申请证书：（1.）用户账户：打开 IE 浏览器输入根 CA 的 IP 地址/certsrv 申请一个证书高级证书申请创建并向CA 提交一个申请姓名：VPN，国家：cn，需要证书类型：服务器身份验证证书，导出私钥，提交（根CA 颁发一下）主页查看挂起的证书状态服务器身份验证证书安装此证书。打开 MMC 添加证书：我的用户账户和计算机账户查看受信任的根证书颁发机构（有没有根 CA 的证书）和中级证书颁发机构（有没有从属 CA 的证书）如果没有打开 IE 浏览器输入根 CA 或从属 CA 的 IP/certsrv 下载一个 CA证书将其导入。(2.)计算机账户：打开 IE 浏览

16、器输入根 CA 的 IP 地址/certsrv申请一个证书高级证书申请创建并向CA 提交一个申请姓名：VPN，国家：cn，需要证书类型：服务器身份验证证书，导出私钥，将证书导入到本地计算机，提交（根 CA 颁发一下）主页查看挂起的证书状态服务器身份验证证书安装此证书。打开 MMC 添加证书：本地计算机查看受信任的根证书颁发机构（有没有根 CA 的证书）和中级证书颁发机构（有没有从属 CA 的证书）如果没有打开 IE 浏览器输入根 CA 或从属 CA 的 IP/certsrv下载一个 CA 证书将其导入。（有时不需要这么麻烦只需申请用户证书就行，可有时不行）3.为 VPN 客户端申请证书：（1

17、.）用户账户：打开 IE 浏览器输入根 CA 的 IP 地址/certsrv 申请一个证书高级证书申请创建并向CA 提交一个申请姓名：Client，国家：cn，需要证书类型：客户端身份验证证书，导出私钥，提交（根CA 颁发一下）主页查看挂起的证书状态服务器身份验证证书安装此证书。打开 MMC 添加证书：我的用户账户和计算机账户查看受信任的根证书颁发机构（有没有根 CA 的证书）和中级证书颁发机构（有没有从属 CA 的证书）如果没有打开 IE 浏览器输入根 CA 或从属 CA 的 IP/certsrv 下载一个 CA证书将其导入。(2.)计算机账户：打开 IE 浏览器输入根 CA 的 IP 地址

18、/certsrv申请一个证书高级证书申请创建并向CA 提交一个申请姓名：Client，国家：cn，需要证书类型：客户端身份验证证书，导出私钥，将证书导入到本地计算机，提交（根 CA 颁发一下）主页查看挂起的证书状态服务器身份验证证书安装此证书。打开 MMC 添加证书：本地计算机查看受信任的根证书颁发机构（有没有根 CA 的证书）和中级证书颁发机构（有没有从属 CA 的证书）如果没有打开 IE 浏览器输入根 CA 或从属 CA 的 IP/certsrv下载一个 CA 证书将其导入。（如果用拨不到 VPN 就重启以下 VPN 可能是证书还没验证成功）服务器群集登录：用 cluster1 用户登录

19、（主要组：enterprise admin 组）仲载设备服务器 1：不启动。添加 scsi 硬盘用记事本编辑 vmx 配置文件具体为在末尾添加 disk.lacking = “false”硬盘 2 scsi2:2 硬盘 2高级scsi确定启动配置磁盘分区，使用磁盘管理器，初始化新增磁盘，盘符 Q。（不能为动态磁盘，格式化为 NTFS 格式）关闭服务器 1 不启动服务器 2服务器 2 上编辑添加硬盘使用已存在服务器 1 主机的 SCSI 磁盘按服务器 1 更改 VMX 配置文件启动服务器 2以用户 cluster2 登录然后打开磁盘管理不格式化只需给该磁盘盘符 Q 启动两台服务器打

20、开群集服务器或运行 CLUADMIN.EXEC 创节点 1：文件打开练级创建新群集sohu.COM ；QQ 下一步确定群集 ip192.168.8.99用户名：CLUSTER_完成活动资源磁盘 q群集 IP 地址群集名创节点 2文件打开链接打开到群集的链接在已有的群集中新建节点根据向导完成群集管理器有两台主机网络负载平衡 Web 服务器1.第一个节点上启用网络负载平衡：右击网络负载平衡群集新建群集群集 ip：192.168.8.88（注：完整internet 名称：空）、多播删除默认的一条“端口规则”键入成员 heatbeat：1.1.1.1、连接、选中public： 192.168.

21、8.3完成2.添加第二个节点：右击服务群集添加主机到群集heatheat:1.1.1.2、连接、public：192.168.8.4完成web 服务器：两个节点的操作相同（1）安装 IIS 组件打开 IIS 控制台创建第一个网站：主机头和网站同名、dns 已做好 A记录，ip 地址选择“未分配” ，属性“文档”中添加首页，并创建且存放在 E 盘 web 站点权限：读/写；NTFS 权限：删除默认组、用户，添加本域 admin users 组（2）创建第二个网站：主机头和网站同名、dns 已做好 A 记录，ip 地址选择“未分配” ，属性“文档”中添加首页，web 权限：读/写；NTF

22、S 权限：删除默认组、用户，添加本域 admin users 组（3）web 服务器分别向根 CA、子 ca 申请一个证书并安装，在 mmc 控制台中导入受信任的证书颁发机构（根 ca 和子 ca），web 客户端只向子 ca 申请证书，也导入本地计算机受信任的证书颁发机构（子 CA）即可（4）在第二个站点目录安全属性中启用 ssL ，在客户端采用 https 访问验证即可。FTP 服务器1.安装 IIS 服务组件ftp 服务2.新建 ftp 站点：右击 ftp 站点新建 ftp 站点内部不隔离站点 ftp(dns 已做了 A 记录ip：192.168.8.8 权限：读/写，端口号默认路径

23、D：ftp（事先建好 ftp 文件夹）完成3.新建虚拟目录 admin ftp 权限：读/ 写 NTFS 权限（只针对 admin 文件夹）：删除默认组、用户，添加本域 domain users 组，权限：读写4.新建第二个 ftp2 站点：右击 ftp 站点新建 ftp 站点内部不隔离站点 ftp2(dns 已做了 A 记录)ip：192.168.8.77 权限：读 /写，端口号默认路径 D：ftp2（事先建好 ftp2 文件夹）完成 NTFS 权限（只针对 ftp2 文件夹）：删除默认组、用户，添加本域 domain admins 组，权限：读写验证：在客户端 client 用不同身份的域

24、用户登陆，验证效果。4.搭建多域环境B 上:开始运行 dhsmgmt.msc新建 A 记录的计算机名和 ip 地址双击 soa 添加后缀。B 上运行 dcpromo新林中的域完成重启。G 上:开始运行 dhsmgmt.msc新建 A 记录的计算机名和 ip 地址双击 soa 添加后缀。G 上运行 dcpromo新林中的域完成重启。B 上运行 dcpromo现有域中的子域网络凭证用户名 qq；密码；域子域安装父域子域 bj完成重启S 上:开始运行 dhsmgmt.msc新建 A 记录的计算机名和 ip 地址双击 soa 添加后缀。S 上运行 dcpromo现有域中的域

25、树网络凭证用户名 pp；密码；域域名完成重启创建林信任（和）打开上的 ad 域和信任关系分别右击 ; ; 提升域功能级别windows server 2003 确定打开上的 AD 域和信任关系提升林功能级别 windows server 2003确定打开上的 AD 域和信任关系右击提升域功能级别windows server 2003确定打开上的 AD 域和信任关系提升林功能级别 windows server 2003确定右击属性信任新建信任新建信任向导输入信任名称：林信任这个域和指定的域用户：zz（的有 Enterprise admins 或 domain

26、admins 权限的用户）密码：全林身份验证是完成AGDLP 规则： 1.在的 AD 用户和计算机上新建用户 lily；2.又新建全局组百度组，将 lily 加入百度组；3.在的 AD 用户和计算机上新建本地组 local14.将百度组加入 local15.在的 dc1 上新建 tools 共享文件夹，添加 local1，那么属于的域用户 lily 也将有访问tools 文件的权限了。创建外部信任（和）在上打开 AD 域和信任关系右击属性信任单项：外传只是这个域tom（的有 Enterprise admins 或 domain admins 权限的用户）密码：是，确

27、认传入信任完成在上创建信任关系单项：内传。可采用 AGDLP 规则来验证，不再赘述。操作主机与和活动目录数据库备份转移架构主机、域命名主机（1）dc1 和 dc2 都运行命令：regsvr32 schmmgmt.dll 来注册“架构管理工具”（2）dc1 和 dc2 都打开 mmc 控制台，添加“AD 域和信任关系 ”、 “架构管理工具”（3）右击“架构管理工具”更改域控制器指定“”右击“架构管理工具”更改是（4）右击“AD 域和信任关系”链接到域控制器指“ ”右击“AD 域和信任关系”更改是1.全局编录服务器（1）：打开 AD 站点和服务sitesdefault-fist server

28、sntdssete 右击属性全局编录（2）: 打开 AD 站点和服务sitesdefault-fistserversntdssete 右击属性全局编录2.授权还原（1）在的 dc1 上新建市场部 ou，等 dc2 学习到（2）备份活动目录：运行 ntbackupsystem32备份到桌面（3）删除市场部 ou，等待 dc2 同步（4）重启 dc1，在系统进入图形界面之前按住 F8，进入字符界面（5）选择“目录服务还原模式”（6）输入 administrator 和还原密码进入系统（7）选中桌面备份，进行还原到原位置（8）稍后重启，打开命令提示符：NtdsutilAuthoritative

29、restoreRestore subtree “ou=shichangbu, dc=sohu, dc=com”回车单击“是”QuitQuitExit（9）重启 dc1（10）打开 dc1 的 AD 用户和计算机查看该 ou 是否恢复监控服务器1.打开 dc1 性能控制台：开始管理工具性能2.展开性能日志和警报警报3.右击警报新建警报设置名称 cpu 警报添加：对象“process” ，计数器“process time” 超过80%操作将项计入应用程序事件日志发从网络信息到：192.168.8.2确定4.注：192.168.8.2 主机上的 messenger 服务必须开启Pcanywhere

30、远程管理：1.Client 和都安装 pcanywhere 软件2.client 端为主控端，是被控端创建了专用连接的用户 aa，密码 123，给与管理员权限，启动连接4.client 可以通过这个用户 aa 远程管理的 dc六实验总结1. 创建子域和创建委派都会创建一个新的域，二者的区别是：创建子域时，子域的权威服务器就是父区域中的权威服务器，而在创建委派时可以给新域指定权威服务器2.Web 服务器提供的身份验证类型：匿名访问；基本身份验证；集成 windows 身份验证；windows 域服务器的摘要式身份验证；.net passport 身份验证 3. 常用 ftp 命

31、令：Open：打开连接 Mget：下载多个文件 Bye、quit ：退出连接 Put：上传文件Get：下载文件 Mput：上传多个文4.VPN 的身份验证协议（pap、chap、ms-chap、ms-chap v2、eap 等等）连接方式（加密隧道协议）：PPTP 和 L2TP/Ipsec(16384/30000)5.远程访问策略由 3 部分组成：条件、远程访问权限、配置文件6. PKI 体系能够实现的功能：身份验证、数据完整性、数据机密性、操作的不可否认性数据加密：使用接收者公钥加密，接收者使用自己私钥解密。数据加密的作用是为了保证数据的机密性数字签名：使用发送者私钥加密，使用发送者的公钥解

32、密。数字签名的作用为了保证数据的身份验证、数据的完整性、操作的不可否认性7. 网络负载平衡（NLB）可以增强 Web、FTP、ISA 和 VPN 等前端服务的可靠性和可伸缩性8. 服务器群集技术可实现 DHCP、文件共享、后台打印、MS SQL Server、Exchange Server 等服务的可靠性 9. 林内的信任关系有：树根信任和父子信任树根信任和父子信任的特点：自动创建、双向、可传递和不可删除林之间的信任有：林信任和外部信任外部信任的特点：手工建立信任关系不可传递信任方向有单向和双向两种林信任的特点：林功能级别为 Windows Server 2003 才能创建只有在林根域之间才能创建在建立林信任的两个林中的每个域之间的信任关系是可传递的信任方向有单向和双向两种10. 在林中有 5 种操作主机角色：架构主机、域命名主机、PDC 仿真主机、RID 主机、基础结构主机

展开阅读全文